Пользователь, не могущий изменить пароль - Групповая политика Active Directory
Нет ничего, что зависит от базового хоста/OS/аппаратных средств. Можно безопасно транспортировать ключи среди систем.
Хотя я предостерег бы против ключевого повторного использования, если нет определенная потребность. Если Вы не уверены, Вам, вероятно, не нужен он. Но если Вы уверены, что Вам не будет нужно дальнейшее объяснение для знания почему.
Я вижу, вы запустили RSOP на рабочей станции. Это повлияет на локальные учетные записи, но если изменяемый пароль является учетной записью домена, он будет проверен по RSOP на контроллере домена, обрабатывающем изменение пароля, если я помню.
Кроме того, можно написать сторонние плагины, которые проверяют сложность пароля с помощью окон API. Hitachi ID Systems публикует один такой компонент (который запрашивает удаленный сервер, чтобы проверить, соответствует ли пароль установленным там правилам); Когда такой плагин отклоняет пароль, он выглядит идентично тому, что происходит, когда встроенное в Windows правило сложности 3 из 4 его отклоняет. Вам следует выяснить, есть ли у вас такие вещи в вашей среде (они будут установлены на контроллерах домена), и если они есть, либо определить, что с ними не так, либо избавиться от них.
Тем не менее, поскольку принудительное использование смена пароля решает проблему, это Вероятно, проблема в том, что применяется правило минимального возраста. Для этого проверьте RSOP на DC.
Вам понадобится инструмент сетевого локатора, обычно называемый fox and hound
. Это отличная модель начального уровня
Если вы хотите избавить себя от головной боли, купите модель с несколькими концами.
С помощью инструмента подключите один конец кабеля к сетевому кабелю на столе пользователя, затем подключите другой конец инструмента в кабель в патч-панели. Повторяйте, пока не услышите тон или свет на лисе и гончей.
Семизначный буквенно-цифровой пароль без знаков препинания с учетом регистра содержит 627 комбинаций.
Восьмизначный пароль имеет 268 (или 2 x 1011) возможных комбинаций. Хотя это может показаться большим числом, при 1000000 попыток в секунду потребуется всего 59 часов, чтобы попробовать все возможные пароли.
Помните, это время значительно увеличится для паролей, в которых используются символы ALT и другие специальные символы клавиатуры, такие как "!" или "@".
Правильное использование настроек пароля помогает предотвратить успех атаки методом перебора. "
Источник: http://technet.microsoft.com/en-us/library/ cc264456.aspx
Подтвердите, что для этой конкретной учетной записи пользователя не создаются и не применяются детализированные политики паролей (если функциональный уровень - 2008 или новее) . Проверить атрибут msDS-resultantPSO для пользователя, он содержит примененную детализированную политику паролей для соответствующего пользователя. msDS-resultantPSO - это сконструированный атрибут. Если атрибут недоступен и недоступен, применяется политика домена по умолчанию.